---
title: 网络安全
description: 网络安全技术与协议
---
## 网络安全技术
### 防火墙
防火墙是在 <RedSpan>内部网络和外部因特网之间增加一道安全防护措施</RedSpan>，分为网络级防火墙和应用级防火墙。

网络级防火墙 <RedSpan>层次低、但是效率高</RedSpan>，因为其使用包过滤和状态检测手段，一般只检验网络包外在属性是否异常，若异常，则过滤掉，不与内网通信，因此对应用和用户是透明的。

但是存在的问题是，如果遇到伪装的危险数据包就没办法过滤，此时就要依靠应用级防火墙，<RedSpan>层次高、效率低</RedSpan>,因为应用级防火墙会将网络包拆开，具体检查里面的数据是否有问题，会消耗大量的时间，造成效率低下，但是安全强度高。



### 入侵检测系统 IDS

防火墙技术主要是分隔来自外网的威胁，却<RedSpan>对来自内网的直接攻击无能无力</RedSpan>，此时就要用到入侵检测IDS技术，位于防火墙之后的第二道屏障，作为防火墙技术的补充。

原理：<RedSpan>监控当前系统/用户行为</RedSpan>，使用入侵检测分析引擎进行分析，这里包含了一个知识库系统，囊括了历史行为、特定的行为模式等操作，将当前行为和知识库进行匹配，就能检测出当前行为是否是入侵行为，如果是入侵，则记录证据并上报给系统和防火墙，交由它们处理。

不同于防火墙，<RedSpan>IDS 入侵检测系统是一个监听设备，没有跨接在任何链路上，无需网络流量流经它便可工作</RedSpan>。因此，对 IDS 的部署，唯一的要求是：IDS 应当挂接在 <RedSpan>所有所关注流量都必须流经的链路上。</RedSpan>因此，IDS 在交换机网络中的位置一般选择在：
1. 尽可能靠近攻击源
2. 尽可能靠近受保护资源

### 入侵防御系统 IPS
IDS 和防火墙技术都是在入侵行为已经发生后所作的检测和分析，而 <RedSpan>IPS 是能够提前发现入侵行为，在其还没有进入安全网络之前就进行防御。</RedSpan>

在 <RedSpan>安全网络之前的链路上挂载入侵防御系统 IPS，可以实时检测入侵行为，并直接进行阻断，</RedSpan>这是与 IDS 的区别，要注意。

### 杀毒软件
用于 <RedSpan>检测和解决计算机病毒</RedSpan>，与防火墙和 IDS 要区分，计算机病毒要靠杀毒软件，防火墙是处理网络上的非法攻击。

### 蜜罐系统
<RedSpan>伪造一个蜜罐网络引诱黑客攻击</RedSpan>，蜜罐网络被攻击不影响网络安全，并且可以借此了解黑客攻击的手段和原理，从而对安全系统进行升级和优化。

### 网络攻击和威胁
<table>
    <caption>网络攻击和威胁</caption>
    <thead>
    <tr>
        <th>攻击类型</th>
        <th>攻击名称</th>
        <th>描述</th>
    </tr>
    </thead>
    <tbody>
    <tr>
        <td rowSpan={3}>被动攻击</td>
        <td>窃听（网络监听）</td>
        <td>用各种可能的合法或非法的手段窃听系统中的信息资源和敏感信息</td>
    </tr>
    <tr>
        <td>业务流分析</td>
        <td>通过对系统进行长期监听。利用统计分析方法对诸如通信频道、通信的信息流向、通信总量的变化等参数进行研究，从而发现有价值的信息和规律。</td>
    </tr>
    <tr>
        <td>非法登录</td>
        <td>有些资料将这种方式归为被动登录方式。</td>
    </tr>
    <tr>
        <td rowSpan={5}>主动攻击</td>
        <td>假冒身份</td>
        <td>通过欺骗通信系统（或用户）达到非法用户冒充成为合法用户，或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒进行攻击。</td>
    </tr>

    <tr>
        <td>抵赖</td>
        <td>这是一种来自用户的攻击，比如：否认自己曾经发布过的某条信息、伪造一份对方来信等。</td>
    </tr>
    <tr>
        <td>旁路控制</td>
        <td>攻击者利用系统的安全缺陷或安全性上的脆弱指出获得非授权的权力或特权</td>
    </tr>
    <tr>
        <td>重放攻击</td>
        <td>所截获到的某次合法的通信数据拷贝，出于非法的目的而被重新发送</td>
    </tr>
    <tr>
        <td>拒绝服务（DOS）</td>
        <td>对信息或其它资源的合法访问被无条件拒绝</td>
    </tr>
    </tbody>
</table>

### 计算机病毒和木马
病毒：编制或者在计算机程序中插入的 <RedSpan>破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制</RedSpan>的一组 <RedSpan>计算机指令或者程序代码</RedSpan>。

木马：是一种 <RedSpan>后门程序</RedSpan>，常被黑客用作控制远程计算机的工具，隐藏在被控制电脑上的一个小程序监控电脑的一切操作并窃取信息。

代表性病毒实例：
* 蠕虫病毒（感染 EXE 文件）
* 木马
* 宏病毒
* CIH 病毒
* 红色代码：蠕虫病毒+木马

## 网络安全协议
物理层主要使用物理手段，隔离、屏蔽物理设备等，其它层都是靠协议来保护传输的安全，具体如下图所示：

<img src="https://wkq-img.oss-cn-chengdu.aliyuncs.com/20241103133948.png"/>

SSL ：安全套接字协议，被设计为 <RedSpan>加强Web安全传输（HTTP/HTTPS/）的协议</RedSpan>，安全性高，和 HTTP 结合之后，形成 HTTPS 安全协议，端口号为 443。

SSH 协议：安全外壳协议，被设计为 <RedSpan>加强 Telnet/FTP 安全的传输协议</RedSpan>。

 SET 协议：<RedSpan>安全电子交易协议</RedSpan>主要应用于 <RedSpan>B2C 模式（电子商务）中保障支付信息的安全性</RedSpan>。SET 协议本身比较复杂，设计比较严格，安全性高，它能保证信息传输的机密性、真实性、完整性和不可否认性。SET 协议是 PKI 框架下的一个典型实现，同时也在不断升级和完善，如 SET2.0将支持借记卡电子交易。

Kerberos 协议：是一种 <RedSpan>网络身份认证协议</RedSpan>，该协议的基础是 <RedSpan>基于信任第三方，它提供了在开放型网络中进行身份认证的方法，</RedSpan>认证实体可以是用户也可以是用户服务。这种认证不依赖宿主机的操作系统或计算机的 IP 地址，不需要保证网络上所有计算机的物理安全性，并且假定数据包在传输中可被随机窃取和篡改。

PGP 协议： 使用 <RedSpan>RSA公钥证书</RedSpan>进行身份认证，使用 IDEA（128 位密钥）进行数据加密，使用 <RedSpan>MD5</RedSpan>进行数据完整性验证。

* 发送方 A 有三个密钥：A 的私钥、B 的公钥、A 生成的一次性对称密钥。
* 接收方 B 有两个密钥：B 的私钥，A 的公钥。


:::tip
数字签名一般是直接针对信息摘要进行签名的，正对原始数据只能采用对称密钥进行加密。
:::


<img src="https://wkq-img.oss-cn-chengdu.aliyuncs.com/20241103140411.png"/>

